QuiteRAT
Një grup famëkeq hakerash që vepron në emër të Koresë së Veriut ka vendosur një variant të ri të malware për të synuar organizatat e kujdesit shëndetësor dhe infrastrukturën kritike të internetit në të gjithë Evropën dhe Shtetet e Bashkuara. Ky lloj i avancuar i malware, i identifikuar nga studiuesit si QuiteRAT, ndan karakteristika të shumta me llojet e malware të vëzhguara më parë të përdorura nga grupi Lazarus APT . Megjithatë, ai posedon një nivel të lartë kompleksiteti, duke e bërë dukshëm më sfidues për mbrojtësit që të analizojnë dhe të kundërpërgjigjen. Për më tepër, gjatë fazës fillestare të shkeljes së operacioneve të tyre, hakerët përdorën gjithashtu mjete dhe korniza me burim të hapur, siç detajohen nga gjetjet e kërkimit.
Tabela e Përmbajtjes
Lazarus mbetet një aktor jashtëzakonisht aktiv në peizazhin e krimit kibernetik
Analistët e sigurisë kanë nxjerrë në dritë një seri operacionesh sulmi që përfshijnë grupin e mirë-formuar të hakerëve Lazarus, i cili fitoi famë për vjedhjen e supozuar të kriptomonedhës me vlerë 1.7 miliardë dollarë në vitin 2022. Çuditërisht, brenda një periudhe më pak se një viti, ky grup ka është lidhur me tre fushata të dokumentuara. Operacionet kriminale kibernetike shfaqin ripërdorimin e infrastrukturës identike përgjatë këtyre operacioneve.
Miratimi i mjeteve me burim të hapur nga Lazarus ka ngritur shqetësime për shkak të ndikimit të tij në procesin e atribuimit dhe përshpejtimin e ciklit të shfrytëzimit. Duke përdorur mjete me burim të hapur, hakerët arrijnë të minimizojnë dyshimet dhe të anashkalojnë nevojën për të ndërtuar aftësi nga e para. Veçanërisht, mjete të shumta me burim të hapur, të destinuara fillimisht për detyra legjitime mbrojtëse dhe sulmuese, janë bërë pjesë e arsenaleve dashakeqe të grupeve të ndryshme kriminale kibernetike.
Shfrytëzimi i dobësive në paketën e softuerit popullor të biznesit
Incidentet e raportuara përfshijnë shfrytëzimin e një cenueshmërie që ndikon ManageEngine ServiceDesk. Kompleti i ofruar nga ManageEngine gjen përdorim në shumë ndërmarrje, duke përfshirë shumicën e organizatave të Fortune 100. Softueri përdoret në menaxhimin e infrastrukturës së TI-së, rrjeteve, serverëve, aplikacioneve, pikave fundore dhe funksionaliteteve të tjera. Në janar, kompania përgjegjëse për produktin pranoi zyrtarisht ekzistencën e cenueshmërisë, të përcaktuar si CVE-2022-47966. Firma të ndryshme sigurie kanë lëshuar alarme në lidhje me shfrytëzimin aktiv të tij nga aktorë keqdashës.
QuiteRAT qëndron i fshehur në pajisjet e komprometuara
QuiteRAT fuqizon hakerat të grumbullojnë informacion nga pajisja e komprometuar. Kërcënimi është gjithashtu i pajisur me një funksion që i mundëson atij të hyjë në një modalitet 'gjumë' për kohëzgjatje të paracaktuara, duke lehtësuar fshehjen e pranisë së tij brenda një rrjeti të komprometuar.
Krahasuar me paraardhësin e tij, MagicRAT, i zbuluar nga hakerat Lazarus në prill 2022, QuiteRAT krenohet me një madhësi dukshëm më të vogël. Ai mat vetëm 4 deri në 5 MB, kryesisht për shkak të mosveprimit të aftësive të natyrshme të qëndrueshmërisë brenda rrjetit të prishur. Si rezultat, hakerët duhet të prezantojnë një veçori të veçantë të qëndrueshmërisë më pas.
Ngjashmëritë midis implanteve sugjerojnë se QuiteRAT rrjedh nga prejardhja e MagicRAT . Përtej mbështetjes së tyre të përbashkët në kornizën Qt, të dy kërcënimet shfaqin funksionalitete të ngjashme, duke përfshirë ekzekutimin e komandave arbitrare në sistemin e infektuar.
Në lidhje me malware-in e tyre QuiteRAT, studiuesit kanë vëzhguar Grupin Lazarus duke përdorur një kërcënim tjetër të panjohur më parë të quajtur 'CollectionRAT'. Ky malware shfaq aftësi standarde të Trojanit me qasje në distancë (RAT), duke i mundësuar atij të ekzekutojë komanda arbitrare në sistemet e komprometuara.
